Коллеги, привет.
Подскажите,
У меня кластер эластика состоит из 9 нод
возможно ли настроить обычную аутификацию в Кибана, без включения SSL во всем кластере?
Коллеги, привет.
Подскажите,
У меня кластер эластика состоит из 9 нод
возможно ли настроить обычную аутификацию в Кибана, без включения SSL во всем кластере?
А в чем смысл аутентификации без SSL?
Пользователи не смогут удалять индексы из Кибаны и выполнять другие административные функции.
Понял, цель - создать иллюзию безопасности . Если траффик не шифруется то это безопасно только до первого умника который смог перехвать траффик. К сожалению, с этим помочь не смогу.
Игорь, нравится мне Ваш подход=)
Хорошо, если с SSL. Поправьте меня в моих размышлениях.
У меня 9 нод эластика (3 мастера +6 дата) + 2 LS + 1 кибана, каждый их элементов кластера установлен на отдельном сервере.
и Центр Подтверждения сертификатов, на всю компанию.
Для включения SSL, мне потребуется:
Сгенерировать cert на любой ноде эластика
Подписать его в ЭЦП
Следовать инструкции по ссылке Configuring SSL, TLS, and HTTPS to secure Elasticsearch, Kibana, Beats, and Logstash | Elastic Blog
Я правильно понимаю порядок действий?
Хотя с этим вопросом лучше к ИБ обратиться=)
Игорь, спасибо и доброй ночи!
Я правильно понимаю что доступ в кибану должны иметь только определенные пользователи? Можно настроить авторизацию через nginx. Это доп. сервис, но можно обойтись без SSL.
Да, можно через Web сервер решить задачу. У меня некоторое замешательство произошло. Если нода одна я могу настроить обычную авторизацию, а что делать когда нод больше одной так и не нашел информации. В связи с этим и возник вопрос.
Игорь, с TLS между нодами и LS картина более или менее понятна. А как быть с Beat-ами. В их конфигурацию нужно подкладывать сертификат при отправке данных из Beats в LS, а в Ingest Node? Или если трафик идет в LS из Rsyslog например.
Если вы настроите TLS на elasticsearch, то надо менять конфигурацию тех компонентов, которые на прямую посылают информацию в elasticsearch. То есть в вашем случае
это logstash.
Игорь, приветствую!
У меня получилось настроить безопасность кластера c сертификатами. Подскажите, столкнулся с ситуацией. При настройке MetricBeat и FileBeat в output я прописываю LS (данные успешно передаются в LS без сертификата). Но в xpack.мониторинг и в установку Dashboard у меня прописывается Elastic и Kibana соотвественно (c SSL). Beats ругается на то, что ему нужен сертификат типа setup_Kibana.crt или что то в этом роде. Получается что для установки Dashboard мне нужен другой сертификат или как правильно готовить данный механизм?
А как вы SSL в Kibana настроили? При установке дашбордов beat обращается напрямую c Kibana, поэтому ему нужны сертификаты kibana а не elasticsearch.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.